信息系统一般控制审计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
五、灾难恢复与业务持续性审计
(1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。 (2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。 (3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。 (4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力 。
(二)批平衡的类型
(1)批注册:通过注册项对批总计进行人工记录,并与系统报告的总计进行比较。 (2)控制账户:使用控制账户是通过一个初始编辑文件来确定批总计。 (3)计算机一致:批总计的计算机一致是通过输入记录批总计的批标题细目来执行的。 (4)系统将其与计算出来的总计进行比较,再决定接受或拒绝本批次。
三、校验审查
四、批控制和批平衡
(一)批控制的类型
(1)总金额:确认一个批次中被系统处理的项目总金额等于处理前项目金额之和。
信息系统审计
34
(2)总项目数:确认一个批次中的每一个文件中的项目总数等于被处理的项目总数。 (3)总文件数:确认一个批次中文件总数等于被处理的文件总数。 (4)杂数总和:确认一个批次中的所有文件中的数值类字段的总和(虽然不同类型字段加起来的值 并没有实际意义)等于系统计算出来的总和。
四、数据与数据库安全控制审计
(1)审核信息系统在数据处理、传输过程中的数据加密、数字签名、数字信封、数字证书认证等 安全策略控制是否完整有效,评价系统数据的机密性、完整性和可靠性。
信息系统审计
31
(2)审核数据库的存取管理、安全管理和数据库加密技术,评价数据库的安全性。 (3)审核数据库用户的角色、权限管理、身份验证和访问控制等安全控制,评价数据库的安全性。 (4)审核数据库的备份和恢复策略,检查备份数据存放、安全、维护管理,确保数据库的可用性。
1.制订并核准有效的事件应对计划
信息系统审计
26
2.有效记录并确认事件 3.正确分析事件并采取适当行动
五、物理访问控制
第四节 职责分离 一、制定职责分离的管理制度
信息系统审计
27
二、员工明确其岗位职责 三、对关键岗位进行监控
第五节 一般控制审计程序 一、系统环境控制审计
(一)物理环境的检查
信息系统审计
(三) 硬件获取过程的控制与审计
信息系统审计
22
二、硬件维护 三、硬件监控
(一)硬件错误报告 (二)可用性报告 (三)利用率报告
四、硬件的容量管理
信息系统审计
23
第二节 信息系统软件
一、信息系统软件组成
(一) 操作系统 (二) 数据库管理系统
1.程序开发的难易程度 2.数据库管理系统的性能分析 3.对分布式应用的支持
信息系统审计
35
五、错误报告和错误处理方法
(1)仅拒绝有错误的事务。 (2)拒绝整批事务。 (3)暂停输入批次。 (4)整批接收并对错误事务做标志。
六、联机系统的输入完整性 七、内部审计与监测
信息系统审计
36
第二节 数据处理控制
一、规范的数据处理程序
二、数据确认和编辑检查程序
(1)顺序检查。 (2)极限检查。 (3)范围检查。 (4)有效性检查。
信息系统审计
32
(5)审核被审计单位对业务持续性计划的维护措施。
第七章 信息系统应用控制审计
第一节 数据输入控制 一、数据规划和设计 二、输入授权
信息系统审计
33
(1)在一批表格或源文件上签字,提供恰当的授权证据。 (2)在线访问控制,保证只有经授权的人可以访问数据或执行敏感的操作。 (3)唯一性口令,系统为每个用户分发相互区别的唯一口令,用户输入自己的口令来对系统实施授 权的操作并对数据变动承担责任。 (4)终端或客户工作站的识别,用于限制系统只接受由特定的终端、工作站和个人输入的信息。
信息系统审计
37
(5)合理性检查。 (6)查表。 (7)存在性检查。 (8)击键校验。 (9)校验数位。 (10)完整性检查。 (11)重复检查。 (12)逻辑关系检查。
三、处理控制
三、系统网络架构控制审计
(一)局域网风险与控制审计 (二)客户机/服务器架构安全审计 (三)互联网安全控制审计 (四)网络安全技术应用的审计
信息系统审计
30
(五)网络基础架构审计
(1)审核网络拓扑图,确定网络结构及设施。 (2)审核对局域网的控制,保证体系结构的设计和选择遵循了适当的标准,以及获取和运行成本不 超过其效益,包括物理控制审核、环境控制审核、逻辑控制审核。 (3)远程访问审核。 (4)网络穿透测试。 (5)网络变更控制审核。
信息系统审计
24
4.并行处理能力 5.可移植性和可扩展性
二、软件获取与实施
第三节 访问控制 一、制定访问控制的制度、程序和计划
信息系统审计
25
(一) 访问控制要求 (二) 形成访问控制策略文件
二、实施有效的识别和认证机制
三、实施有效的授权控制
(一) 管理用户账号 (二) 控制进程和服务
四、执行有效的审计和监督
28
(二)逻辑环境的检查 (三)硬件基础设施的检查 (四)软件设施的检查
二、系统访问控制审计
(一)逻辑访问控制审计
(1)验证逻辑访问路径。
Fra Baidu bibliotek(2)检查逻辑访问控制软件。
(3)检查身份识别与验证。
(4)检查逻辑访问授权。
信息系统审计
29
(5)检查远程访问控制。 (6)利用审计日志检测系统访问。
(二)物理访问控制审计
一级章节 第六章 信息系统一般控制审计
第一节 信息系统硬件 一、硬件获取
(一) 招标书
信息系统审计
20
1.组织环境 2.处理需求 3.硬件需求 4.系统软件 5.支持需求 6.适应需求 7.实施需求 8.约束条件
(二) 获取步骤
信息系统审计
21
(1)好转时间——发生故障时,帮助台或厂商从登录系统到解决问题所需的时间。 (2)响应时间——系统响应一个特定的用户查询所需的时间。 (3)吞吐量——单位时间内系统的有效工作量,吞吐量的衡量指标可以是每秒执行的指令。 (4)数或其他性能单位。 (5)负载——执行必要工作的能力,或系统在给定时间区间内能完成的工作量。 (6)兼容性——供应商提供的新系统对现有应用的运行支持能力。 (7)容量——新系统处理并发网络应用请求的数目,以及系统能够为每个用户处理的数据量。 (8)利用率——新系统可用时间与故障时间之比。
(1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。 (2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。 (3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。 (4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力 。
(二)批平衡的类型
(1)批注册:通过注册项对批总计进行人工记录,并与系统报告的总计进行比较。 (2)控制账户:使用控制账户是通过一个初始编辑文件来确定批总计。 (3)计算机一致:批总计的计算机一致是通过输入记录批总计的批标题细目来执行的。 (4)系统将其与计算出来的总计进行比较,再决定接受或拒绝本批次。
三、校验审查
四、批控制和批平衡
(一)批控制的类型
(1)总金额:确认一个批次中被系统处理的项目总金额等于处理前项目金额之和。
信息系统审计
34
(2)总项目数:确认一个批次中的每一个文件中的项目总数等于被处理的项目总数。 (3)总文件数:确认一个批次中文件总数等于被处理的文件总数。 (4)杂数总和:确认一个批次中的所有文件中的数值类字段的总和(虽然不同类型字段加起来的值 并没有实际意义)等于系统计算出来的总和。
四、数据与数据库安全控制审计
(1)审核信息系统在数据处理、传输过程中的数据加密、数字签名、数字信封、数字证书认证等 安全策略控制是否完整有效,评价系统数据的机密性、完整性和可靠性。
信息系统审计
31
(2)审核数据库的存取管理、安全管理和数据库加密技术,评价数据库的安全性。 (3)审核数据库用户的角色、权限管理、身份验证和访问控制等安全控制,评价数据库的安全性。 (4)审核数据库的备份和恢复策略,检查备份数据存放、安全、维护管理,确保数据库的可用性。
1.制订并核准有效的事件应对计划
信息系统审计
26
2.有效记录并确认事件 3.正确分析事件并采取适当行动
五、物理访问控制
第四节 职责分离 一、制定职责分离的管理制度
信息系统审计
27
二、员工明确其岗位职责 三、对关键岗位进行监控
第五节 一般控制审计程序 一、系统环境控制审计
(一)物理环境的检查
信息系统审计
(三) 硬件获取过程的控制与审计
信息系统审计
22
二、硬件维护 三、硬件监控
(一)硬件错误报告 (二)可用性报告 (三)利用率报告
四、硬件的容量管理
信息系统审计
23
第二节 信息系统软件
一、信息系统软件组成
(一) 操作系统 (二) 数据库管理系统
1.程序开发的难易程度 2.数据库管理系统的性能分析 3.对分布式应用的支持
信息系统审计
35
五、错误报告和错误处理方法
(1)仅拒绝有错误的事务。 (2)拒绝整批事务。 (3)暂停输入批次。 (4)整批接收并对错误事务做标志。
六、联机系统的输入完整性 七、内部审计与监测
信息系统审计
36
第二节 数据处理控制
一、规范的数据处理程序
二、数据确认和编辑检查程序
(1)顺序检查。 (2)极限检查。 (3)范围检查。 (4)有效性检查。
信息系统审计
32
(5)审核被审计单位对业务持续性计划的维护措施。
第七章 信息系统应用控制审计
第一节 数据输入控制 一、数据规划和设计 二、输入授权
信息系统审计
33
(1)在一批表格或源文件上签字,提供恰当的授权证据。 (2)在线访问控制,保证只有经授权的人可以访问数据或执行敏感的操作。 (3)唯一性口令,系统为每个用户分发相互区别的唯一口令,用户输入自己的口令来对系统实施授 权的操作并对数据变动承担责任。 (4)终端或客户工作站的识别,用于限制系统只接受由特定的终端、工作站和个人输入的信息。
信息系统审计
37
(5)合理性检查。 (6)查表。 (7)存在性检查。 (8)击键校验。 (9)校验数位。 (10)完整性检查。 (11)重复检查。 (12)逻辑关系检查。
三、处理控制
三、系统网络架构控制审计
(一)局域网风险与控制审计 (二)客户机/服务器架构安全审计 (三)互联网安全控制审计 (四)网络安全技术应用的审计
信息系统审计
30
(五)网络基础架构审计
(1)审核网络拓扑图,确定网络结构及设施。 (2)审核对局域网的控制,保证体系结构的设计和选择遵循了适当的标准,以及获取和运行成本不 超过其效益,包括物理控制审核、环境控制审核、逻辑控制审核。 (3)远程访问审核。 (4)网络穿透测试。 (5)网络变更控制审核。
信息系统审计
24
4.并行处理能力 5.可移植性和可扩展性
二、软件获取与实施
第三节 访问控制 一、制定访问控制的制度、程序和计划
信息系统审计
25
(一) 访问控制要求 (二) 形成访问控制策略文件
二、实施有效的识别和认证机制
三、实施有效的授权控制
(一) 管理用户账号 (二) 控制进程和服务
四、执行有效的审计和监督
28
(二)逻辑环境的检查 (三)硬件基础设施的检查 (四)软件设施的检查
二、系统访问控制审计
(一)逻辑访问控制审计
(1)验证逻辑访问路径。
Fra Baidu bibliotek(2)检查逻辑访问控制软件。
(3)检查身份识别与验证。
(4)检查逻辑访问授权。
信息系统审计
29
(5)检查远程访问控制。 (6)利用审计日志检测系统访问。
(二)物理访问控制审计
一级章节 第六章 信息系统一般控制审计
第一节 信息系统硬件 一、硬件获取
(一) 招标书
信息系统审计
20
1.组织环境 2.处理需求 3.硬件需求 4.系统软件 5.支持需求 6.适应需求 7.实施需求 8.约束条件
(二) 获取步骤
信息系统审计
21
(1)好转时间——发生故障时,帮助台或厂商从登录系统到解决问题所需的时间。 (2)响应时间——系统响应一个特定的用户查询所需的时间。 (3)吞吐量——单位时间内系统的有效工作量,吞吐量的衡量指标可以是每秒执行的指令。 (4)数或其他性能单位。 (5)负载——执行必要工作的能力,或系统在给定时间区间内能完成的工作量。 (6)兼容性——供应商提供的新系统对现有应用的运行支持能力。 (7)容量——新系统处理并发网络应用请求的数目,以及系统能够为每个用户处理的数据量。 (8)利用率——新系统可用时间与故障时间之比。